MITRE是一家美国的非盈利组织,也是运维CVE漏洞数据库背后的组织。今年9月份MITRE在其官网发布了2019 CWE Top 25最危险的软件错误榜单(2019 CWE Top 25 Most Dangerous Software Errors)草案,参见表1。MITRE上一次发布Top 25软件错误榜单是在2011年。
表12019 CWE Top 25最危险的软件错误榜单:
| 排名 | CWE-ID | CWE类型 | 评分 |
|---|---|---|---|
| 1 | CWE-119 | 对内存缓冲区内的操作限制不当 | 75.56 |
| 2 | CWE-79 | 跨站脚本 | 45.69 |
| 3 | CWE-20 | 输入验证不当 | 43.61 |
| 4 | CWE-200 | 信息泄露 | 32.12 |
| 5 | CWE-125 | 越界读取 | 26.53 |
| 6 | CWE-89 | SQL注入 | 24.54 |
| 7 | CWE-416 | 释放后重用 | 17.94 |
| 8 | CWE-190 | 整数溢出或环绕 | 17.35 |
| 9 | CWE-352 | 跨站请求伪造 | 15.54 |
| 10 | CWE-22 | 路径遍历 | 14.10 |
| 11 | CWE-78 | OS命令注入 | 11.47 |
| 12 | CWE-787 | 越界写入 | 11.08 |
| 13 | CWE-287 | 授权不当 | 10.78 |
| 14 | CWE-476 | 空指针逆向引用 | 9.74 |
| 15 | CWE-732 | 对关键资源的权限分配错误 | 6.33 |
| 16 | CWE-434 | 未限制上传威胁类型的文件 | 5.50 |
| 17 | CWE-611 | 对XML外部实体引用限制不当 | 5.48 |
| 18 | CWE-94 | 代码注入 | 5.36 |
| 19 | CWE-798 | 使用硬编码凭据 | 5.12 |
| 20 | CWE-400 | 不受控制的资源消耗 | 5.04 |
| 21 | CWE-772 | 有效生命期后未能释放资源 | 5.04 |
| 22 | CWE-426 | 不可信的搜索路径 | 4.40 |
| 23 | CWE-502 | 对不可信的数据反序列化 | 4.30 |
| 24 | CWE-269 | 权限管理不当 | 4.23 |
| 25 | CWE-295 | 证书验证不当 | 4.06 |
2019之不同的数据来源
隔了8年之久才再次发布的这份CWE TOP25榜单,与以往榜单的首要不同在于数据来源。2009至2011 Top25榜单的数据来自于对开发人员,顶级安全分析人员,研究人员和厂商的调查和面谈,采用CWSS对漏洞类型进行评分定级。而2019 CWE Top 25榜单的数据则基于NVD数据库中2017年度和2018年度真实存在的CVE漏洞,同时结合每个CVE漏洞的CVSS评分。另一方面,MITRE也采用了不同的计算公式来为2019 CWE Top25评分。可以说,较之于以往年度,2019 CWE Top 25的客观性更高。
2019 CWE TOP 5
2019 CWE TOP 5依次为CWE-119对内存缓冲区内的操作限制不当,CWE-79跨站脚本,CWE-20输入验证不当,CWE-200信息泄露和CWE-125越界读取。既然2019 CWE Top25是基于2017年度和2018年度的CVE数据,笔者就去NVD数据库看了下这两个年度TOP 5相应的CVE数量,并统计了这两年内相应的CVE数量占比,参见表2。
表2 2019 CWE TOP 5相应CVE数量和占比(20170101-20181231)
| 排名 | CWE-ID | CWE类型 | CVE数量 | 占比 |
|---|---|---|---|---|
| 1 | CWE-119 | 对内存缓冲区内的操作限制不当 | 4277 | 13.73% |
| 2 | CWE-79 | 跨站脚本 | 3428 | 11.00% |
| 3 | CWE-20 | 输入验证不当 | 2418 | 7.76% |
| 4 | CWE-200 | 信息泄露 | 2783 | 8.93% |
| 5 | CWE-125 | 越界读取 | 1012 | 3.25% |
NVD数据库中2017年-2018年共收入了31159个CVE漏洞,而MITRE 2019 CWE Top1 至Top5的CVE总数量为13918,总占比达到了44.67%。
毫无疑问,这些缺陷都是广泛存在的,并可能导致严重的软件漏洞。黑客通过成功利用这些漏洞可以控制受影响的系统,窃取敏感数据或者导致拒绝服务,进而造成网络风险,甚至引起网络攻击。例如,在2017年的永恒之蓝网络攻击事件中,遭到黑客利用的CVE-2017-0144的漏洞类型即为CWE-20输入验证不当。
MITRE CWE Top25对于开发和安全来说都是具有参考意义的资源,但是这份榜单也不是放之四海而皆准,每个组织都应该根据自己的情况,基于自身的标准来创建自己的缺陷列表和策略。
参考来源:
MITRE,2019 CWE Top 25 Most Dangerous Software Errors,https://cwe.mitre.org/top25/archive/2019/2019_cwe_top25.html;
MITRE,CWE Top 25 Archive,https://cwe.mitre.org/top25/archive/;
*本文作者:偶然路过的围观群众,转载请注明来自FreeBuf.COM
如有侵权请联系:admin#unsafe.sh